伴侣移动应用公开的现代汽车潜在劫持
伴随许多现代汽车的移动应用程序暴露了可能让攻击者远程定位,解锁和启动车辆的敏感信息。
该漏洞在3月发布的最新版本的移动应用程序中被修补,但周二公开披露。它是过去几年中发现的一串缺陷的最新瑕疵,在车辆制造商到他们的汽车中添加的“智能”功能。
现代问题是由独立研究人员发现威廉·哈特刀和Arjun Kumar在分析Myhyundai的蓝色链接移动应用程序时。
Blue Link是一种基于订阅的技术,即2012年后发布的许多现代汽车模型。它允许汽车所有者在盗窃中远程定位他们的车辆,如果丢失或错位他们的钥匙,甚至在停放和锁定时甚至远程启动或停止其发动机。
研究人员发现,从12月初发布的移动应用程序版本3.9.4开始,Hyundai增加了一个要将日志文件上传到远程服务器的功能。与服务器的连接没有使用HTTPS加密,但Hyundai试图通过使用所有用户共享的静态密钥加密来保护日志数据。
问题是,此键在应用程序内部硬编码,所以任何人都可以下载应用程序,找到密钥,然后提取它。这允许攻击者处于职位拦截从移动电话拦截流量的攻击者,该应用程序安装以拦截和解密日志数据。
应用程序日志包含像汽车所有者的用户名,密码和引脚等敏感信息,以及可以透露汽车的位置历史的GPS数据。
如果攻击者在ISP级别获得可见性,则可以在不安全的无线网络中执行中间攻击,通过受损路由器,甚至在网络链中更高。
Hatzer和Kumar与安全公司Rapid7合作,协调与Hyundai,美国国土安全部的工业管制系统网络应急响应团队(ICS-Cert)的脆弱性披露,以及卡内基梅隆大学的Cert协调中心。
ICS-Cert周二发布了该问题的咨询,评定了未能对MITM攻击的通信作为中等严重性以及使用硬编码的加密密钥作为高严重性的使用。
现代汽车美国为Android和iOS的蓝色链接移动应用程序的3.9.6版本固定了缺陷。该公司告诉RAING7在调查后,它不了解受此问题影响的任何客户。
现代是汽车信息共享和分析中心(Auto-ISAC)的成员,该公司是一个行业组,用于分享有关网络安全威胁和最佳实践的信息。
在过去几年中,汽车网络安全有一些进展,其中一些制造商推出了Bug Bounty计划,并表现出与安全研究人员合作的愿意。然而,这需要一些时间,直到这些努力开始对汽车有关软件的质量产生重大影响。
在某种程度上,这是可以理解的,因为汽车公司对软件开发相对较新。大型软件供应商像Microsoft,Adobe和Oracle仍然在每个月的产品中发现和修复其产品中的数十个安全漏洞,因此汽车软件或随附的移动应用程序也没有令人惊讶的是漏洞。
然而,有一些紧迫性,因为与计算机相比,汽车对人类安全的威胁更大。遗憾的是,在汽车软件中发现的缺陷通常是基本的安全监督,通过众所周知的安全开发原则可以很容易地避免。
在另一个最近的事件中,来自以色列公司的研究人员在蓝牙范围内能够关闭移动车的发动机,因为来自博斯克的汽车监测设备的漏洞,称为Drivelog连接器。这次加密狗连接到汽车的车载诊断(OBD-II)端口,并在汽车需求服务时监控其“健康”以提醒驱动程序。它附带了一个随附的移动应用程序。
Argus研究人员在App和Dongle之间的基于蓝牙身份验证系统中发现了一个问题,允许它们在尝试连接到加密狗后使用Brute-Force方法猜测授权引脚。使用PIN,研究人员发现一种方法可以通过加密狗远程发送恶意命令,以通过加密到控制器的电子控制单元(ECU)进行通信的控制器区域网络(CAN总线)。
CAN总线不会具有任何加密或认证,因为ECU需要彼此通信并尽可能快地对传感器读数进行反应,以便执行关键功能。因此,获得对CAN总线的不受限制的访问是任何汽车黑客的圣杯。
不幸的是,之前的汽车黑客已经表明,汽车制造商Don“T从外围和远程可访问的系统正常隔离罐总线。2015年,研究人员Charlie Miller和Chris Valasek在移动数据连接中找到了一种方法来破解Jeep Cherkee和其他牧师克莱斯勒车辆的信息娱乐系统,然后跳到CAN总线接管制动,转向和其他批判性系统。
通过添加互联网连接和远程访问功能使汽车“更智能”肯定可以提高汽车所有者的体验,但它也会增加汽车“攻击表面。如果汽车制造商继续严重采取网络安全,则可能会在时间上运行许多这些功能,但现在,如果一辆汽车有遥控功能,那么如果汽车有遥控功能,那么在某处有一个可利用的错误执行。